PRA ET PCA, ce sont deux documents bien distincts, mais beaucoup de personnes les mélangent et les confondent, par la présent article, nous allons tenter d’expliquer les différences et encore mieux, dire pourquoi ils peuvent et doivent être complémentaires
Simplifié, nous dirons que le PCA est le plan pour continuer toutes les activités et le PRA, le plan de reprise des activités (qui peut parfois inclure un ou plusieurs PRA sectoriels tels que : informatique, drh, logistique, production), dans une entité il peut y avoir plusieurs PRA, mais toujours un seul PCA.
POUR QUELLES RAISONS, FAIRE UN PRA OU UN PCA
Parce que par principe l’accident ou l’incident ne se prévoit pas, il faut être capable d’anticiper son arrivée, car il arrive toujours quand on ne l’attend pas, et de plus de nos jours, la dépendance à l’informatique est omniprésente, et que souvent sans informatique toute l’activité s’arrête.
Les deux plans sont complémentaires, mais ils peuvent aussi fonctionner de manière autonome, et c’est pour cela qu’il convient de se poser les bonnes questions, lors de leurs éventuelles élaborations, pas de mise en place sans un réel audit approfondi des processus de l’entreprise.
Pour ne rien oublier, souvent il conviendra de commencer par la réalisation d’un cahier de charges fonctionnelles, ou vous devrez répondre, aux questions : quelles est ma marge de perte de données admissibles (RPO); et à cette autre : en combien de temps maximum, dois-je démarrer (RTO).
Ces deux paramètres super-importants pour votre activité, vont conditionner l’ensemble de vos démarches, actions , et surtout définir vos priorités, et vos choix. Les deux paramètres sont importants, et il n’y a pas moyen à notre connaissance de faire autrement.
Ces paramètres, fonctions ou critères, peut importe le nom que l’on souhaite lors donner, vous les retrouverez parfois en anglais, mais les conséquences sont les mêmes, et pour les puristes, nous les détaillons, en précisant les deux abréviations :
RPO / PDMA :
RPO Recovery point objective, ce qui en français donnerait , PDMA, perte de données maximale admissible, est la quantité de données qu’on estime acceptable (de perdre).
RTO / DMIA :
RTO Recovery time objective, ce qui en français donnerait , DMIA, durée maximale d’interruption admissible, est le temps d’indisponibilité que l’on estime acceptable (pour redémarrer).
PRA, Plan de Reprises des Activités
-
Définition et mise en œuvre des processus
Il s’agit de recenser toutes les bases essentielles, pour pouvoir faire face au sinistre.
-
Mise en oeuvre opérationnelle (minimale ou dégradée).
Par quoi devons-nous commencer, et qu’est ce qui nous faut au minimum pour pouvoir le faire.
-
Reconstitution Progressive de l’infrastructure globale.
Comment revenir à la situation d’avant crise ou sinistre, et dans quel ordre.
-
Personnalisation liée au contexte, de l’entité.
Dans quel contexte sommes-nous, incident total, inondation, incendie, autre ?
C’est pour cela qu’il est conseillé de dérouler un PRA ” à blanc”, le tester permettra au responsable du PRA de noter les moindres détails qui peuvent avoir l’importance, l’avantage est que lorsqu’un test est fait, la pression est moindre, même si l’on simule une situation réelle.
Le conseil, si vous devez vous atteler à la tache de réaliser un PRA, ne faites pas du simple copier/coller, prenez le temps d’étudier chaque action, et adaptez-là à votre contexte, car comme toutes les entreprises ne se ressemblent pas, les PRA ne peuvent pas être identiques.
Et puis pensez à tenir compte, une fois tous les tests faits, de tous les autres paramètres qui aident à prendre les meilleures décisions, par exemple :
- Faut-il une double alimentation électrique ?
- Faut-il une double climatisation ?
- Faut-il aussi doubler les Télécommunications (Fibre, ADSL) ?
- Faut-il un second local pour l’informatique (prévoir à minima, un local de secours).
- Pouvons-nous relancer l’activité en faisant du SaaS, en avons-nous les moyens.
- Comment accélérer la reprise de l’activité (coût d’une heure d’arrêt de la production).
- Avons-nous des moyens de redondance, chez nos prestataires (ordinateurs, Fibre, ADSL)
C’est au chef de projet, de se poser toutes ces questions et de tenter d’y apporter une réponse, si possible avant que l’incident n’arrive, car si l’incident est là, c’est trop tard, et il va manquer de temps et de moyens pour faire le nécessaire.
C’est pour cela qu’une des premières questions à se poser est de savoir, si suite à un sinistre, vous opterez pour un PRA interne / PRA externe, car les choses ne se traitent pas de la même façon (imaginez un incendie, une inondation, une coupure totale des réseaux (EDF, Télécommunications), il vous sera très difficile de tenter de repartir si vous avez choisi, UN PRA avec une reprise interne.
Le PRA prend de plus en plus d’ampleur et d’importance, et le Clusif et le SGDSN disposent d’un grand nombre de documents de qualité, nous vous suggérons de vous en informer, et vous pourrez aussi lire les recommandations que vous trouverez dans les normes suivantes :
ISO- Iso 22399, Iso 27000
ITIL- Continuity Management et Availabilité Management.
BSI – British Standard Institute : BS 25999-1 et BS 25999-2
PCA, Plan de Continuité des Activités
Il s’agit d’un ensemble d’écrits faits au préalable pour permettre, la continuité des activités d’une entreprise, le PCA est aussi parfois dénommé BCP Business Continuity Plan), mais en réalité nous parlons de la même chose et du même sujet.
Le PCA est généralement constitué par un volumineux recueil, très bien classé par rubriques, ou nous trouverons les études préparatoires, les stratégies, l’organisation ou les organisations suggérées ou proposes, pour remettre en route les principale fonctions vitales de l’entreprise.
Conseil dans tous les cas, : une procédure de PRA/ PCA n’est pas figée, il vous faudra la tenir à jour constamment et la notifier aux prestataires/partenaires qui vous accompagnent dans votre projet pour être toujours prêts, sans oublier les listes téléphoniques des principaux responsables.
PCA, quand le faire et en faut-il plusieurs ?
Il n’y a pas plusieurs PCA, un seul doit être fait, et il ne devra pas tenir compte du type de crises, ou du type de sinistres à traiter; quand l’incident est là, qu’il soit sanitaire, énergétique, naturel (incendie, inondations), il faut le traiter, et en premier lieu, il convient de relancer la production.
Un PCA ne s’invente pas “au débotté”, ni sur un coin de table, il faut généralement l’étudier et le matérialiser plusieurs mois à l’avance (c’est ce que tous les experts du sujet, vous maintiendront), mais le premier conseil est de tout mettre par écrit, en respectant l’ordre, plusieurs mois à l’avance.
Nous l’abordions précédemment sur le PRA, mais déterminons de suite où le PCA pourra être mis en action (En interne, ou en Externe), et vous aurez à le faire en fonction de vos moyens et de votre organisation de base (les backups ne suffisent pas, pour repartir), sauriez vous reprendre en SaaS.
Nous l’avons déjà écrit, aucun PCA ne peut ressembler à un autre PCA (pour le PRA c’est identique), cela va dépendre forcément de l’activité, du lieu et du contexte de l’incident, et c’est facile à comprendre, un lieu de production quel qu’il soit, n’est pas à traiter comme un hôpital.
Pour des unités de production, le cas ne se posera pas de la même façon, car il serait inconcevable (du moins dans un premier temps), de déplacer les machines-outils, et les stocks de produits finis ou semi-finis, donc il conviendra de prévoir une reprise à minima, avec les moyens du bord.
Ne surtout pas oublier la téléphonie et les connexions externes (Fibres, Adsl).
Dans un hôpital, la téléphonie aura une grande importance, mais la gestion des médicaments aussi, sans oublier forcément l’accès aux dossiers malades, pour le suivi des traitements, mais cela ne suffit pas, il faut aussi pouvoir contacter les soignants (DRH), pour organiser les équipes de crise.
Les deux (PCA/PRA) sont ils obligatoires, oui et non, une nouvelle fois, cela va dépendre de l’activité et du contexte, pour répondre à cette question, répondez d’abord à cette autre, combien de temps votre société, peut-elle se maintenir sans activité, informatique ou production.
Enfin vous ne pourrez pas ignorer certaines obligations, par exemple, que faites vous sans téléphonie, ni connections, avez vous pensé à les redonder, et si vous le faites pour les télécommunications, pensez aussi à vos outils de collaboration (CRM, listes clients).
Conclusion – Ne pas oublier d’intégrer une supervision de vos installations.
- Nouvelle adresse papadustream 2025 : tout ce qu’il faut savoir sur son changement d’URL (Janvier) - 8 janvier 2025
- Nouvelle adresse de Zone de Téléchargement en 2025 : Comment y accéder en Janvier ? - 8 janvier 2025
- Philippe Klimczak décrypte les algorithmes de machine learning : principes, types et applications en intelligence artificielle - 8 janvier 2025